《信息安全技術(shù) 信息系統(tǒng)安全管理要求》gb/t20269-2006

引 言

信息安全等級保護(hù)從與信息系統(tǒng)安全相關(guān)的物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面對信息和信息系統(tǒng)實施分等級安全保護(hù)。管理層面貫穿于其他層面之中，是其他層面實施分等級安全保護(hù)的保證。本標(biāo)準(zhǔn)對信息和信息系統(tǒng)的安全保護(hù)提出了分等級安全管理的要求，闡述了安全管理要素及其強度，并將管理要求落實到信息安全等級保護(hù)所規(guī)定的五個等級上，有利于對安全管理的實施、評估和檢查。gb17859-1999中安全保護(hù)等級的劃分是根據(jù)對安全技術(shù)和安全風(fēng)險控制的關(guān)系確定的，公通字[2004]66號文件中安全等級的劃分是根據(jù)信息和信息系統(tǒng)受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成損害的程度確定的。兩者的共同點是：安全等級越高，發(fā)生的安全技術(shù)費用和管理成本越高，從而預(yù)期能夠抵御的安全威脅越大，建立起安全信心越強，使用信息系統(tǒng)的風(fēng)險越小。 本標(biāo)準(zhǔn)以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指，為實現(xiàn)信息系統(tǒng)安全等級保護(hù)所規(guī)定的安全要求，從管理角度應(yīng)采取的主要控制方法和措施。根據(jù)gb17859-1999對安全
保護(hù)等級的劃分，不同的安全保護(hù)等級會有不同的安全管理要求，可以體現(xiàn)在管理要素的增加和管理強度的增強兩方面。對于每個管理要素，根據(jù)特定情況分別列出不同的管理強度，最多分為5級，最少可不分級。在具體描述中，除特別聲明之外，一般高級別管理強度的描述都是在對低級別描述基礎(chǔ)之上進(jìn)行的。 
信息系統(tǒng)是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。本標(biāo)準(zhǔn)涉及信息系統(tǒng)的管理者包括國家機關(guān)、事業(yè)單位、廠礦企業(yè)、公司、集團等各種類型和不同規(guī)模的組織機構(gòu)，以下統(tǒng)稱為“組織機構(gòu)”。 
信息系統(tǒng)在技術(shù)上采取何種安全機制應(yīng)根據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)確定，本標(biāo)準(zhǔn)僅提出保證這些安全機制實施的管理要求。與技術(shù)密切的管理是技術(shù)實現(xiàn)的組成部分，如果信息系統(tǒng)根據(jù)具體業(yè)務(wù)及其安全需求未采用該技術(shù)，則不需要相應(yīng)的安全管理要求。對與管理描述難以分開的技術(shù)要求會出現(xiàn)在管理要求中，具體執(zhí)行需要參照相關(guān)技術(shù)標(biāo)準(zhǔn)。對于涉及國家秘密的信息和信息系統(tǒng)的保密管理，應(yīng)按照國家有關(guān)保密的管理規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行。 
本標(biāo)準(zhǔn)中有關(guān)信息系統(tǒng)安全管理要素及其強度與信息系統(tǒng)安全管理分等級要求的對應(yīng)關(guān)系的說明參見附錄a。為了幫助讀者從安全管理概念角度理解和運用這些信息系統(tǒng)的安全管理要求，附錄b給出了信息系統(tǒng)安全管理概念說明。